Восемнадцатый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru.
Темы нового ролика:
- как Apple AirTag превращает пользователей в невольных шпионов в огромной сети наблюдения,
- к 2030 году киберпреступления будут совершать роботы,
- в автомобилях Mercedes-Benz обнаружены уязвимости,
- страховая компания AXA стала жертвой вымогателя Avaddon,
- техника scheme flooding позволяет деанонимизировать пользователей Tor,
- «вакциной» против русских хакеров может стать русская раскладка клавиатуры,
- операторы вымогателя DarkSide потеряли доступ к своей инфраструктуре,
- Япония ограничит использование иностранных технологий частным сектором,
- клиентка банка отдала телефонным мошенникам рекордные 400 миллионов рублей.
Темы нового ролика:
- как Apple AirTag превращает пользователей в невольных шпионов в огромной сети наблюдения,
- к 2030 году киберпреступления будут совершать роботы,
- в автомобилях Mercedes-Benz обнаружены уязвимости,
- страховая компания AXA стала жертвой вымогателя Avaddon,
- техника scheme flooding позволяет деанонимизировать пользователей Tor,
- «вакциной» против русских хакеров может стать русская раскладка клавиатуры,
- операторы вымогателя DarkSide потеряли доступ к своей инфраструктуре,
- Япония ограничит использование иностранных технологий частным сектором,
- клиентка банка отдала телефонным мошенникам рекордные 400 миллионов рублей.
YouTube
Месть вымогателей, шпионаж через Apple AirTag, уязвимости в мерседесах. Security-новости, #18
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:36 Как Apple AirTag превращает пользователей в невольных шпионов в огромной сети наблюдения - https://www.securitylab.ru/news/520292.php…
0:36 Как Apple AirTag превращает пользователей в невольных шпионов в огромной сети наблюдения - https://www.securitylab.ru/news/520292.php…
Ну и жаркая неделька была у интересующихся кибербезом 🔥 The Standoff и PHDays 10 закончились — время вспомнить, что крутого там было.
На The Standoff 30 команд пробовали атаковать виртуальный город. Хакеры сумели навредить газораспределительной станции, нефтекачке, ТЭЦ, ветрогенераторам, электроподстанции, ЖД-хозяйству, аэропорту, морскому порту, магазинам, сети рекламных видеоэкранов, системе уличного освещения. Хаос был страшный: в городе пропала электроэнергия, случилось несколько крупных ДТП, приостановилось ЖД-сообщение между городами — всего не перечислить, но было жутко. Цифровой мир по-прежнему несовершенен, но мы ищем способы защитить его.
Практика — это супер, но и без теории никак. Мы говорили о том, как обнаружить киберпреступника одним человеком, как взламывать мобильные приложения и даже как получить контроль над спутником. Программа докладов для PHDays с его 7 треками вышла больше, чем на 80 часов 😱
🔎 Контента было так много, что посмотреть все наверняка ни у кого не получилось. На этот случай мы приготовили записи, будем делиться интересными в соц сетях. Если любите выбирать материал самостоятельно, можете восполнить пробелы уже сейчас: https://standoff365.com/phdays10/
#PHDays10 #TheStandoff
На The Standoff 30 команд пробовали атаковать виртуальный город. Хакеры сумели навредить газораспределительной станции, нефтекачке, ТЭЦ, ветрогенераторам, электроподстанции, ЖД-хозяйству, аэропорту, морскому порту, магазинам, сети рекламных видеоэкранов, системе уличного освещения. Хаос был страшный: в городе пропала электроэнергия, случилось несколько крупных ДТП, приостановилось ЖД-сообщение между городами — всего не перечислить, но было жутко. Цифровой мир по-прежнему несовершенен, но мы ищем способы защитить его.
Практика — это супер, но и без теории никак. Мы говорили о том, как обнаружить киберпреступника одним человеком, как взламывать мобильные приложения и даже как получить контроль над спутником. Программа докладов для PHDays с его 7 треками вышла больше, чем на 80 часов 😱
🔎 Контента было так много, что посмотреть все наверняка ни у кого не получилось. На этот случай мы приготовили записи, будем делиться интересными в соц сетях. Если любите выбирать материал самостоятельно, можете восполнить пробелы уже сейчас: https://standoff365.com/phdays10/
#PHDays10 #TheStandoff
О форуме от своего лица мы уже рассказали. Теперь послушаем мнение со стороны 💁🏻♀️
IT-компания Osnova предоставила для The Standoff свой одноименный платежный процессинг на открытом коде. На этом решении работала вся банковская инфраструктура кибергорода. Спойлер: финансовая система жесткий краш-тест выдержала, хотя ее не защищали специалисты из Blue teams. Спасибо, Osnova, это было круто!
Владелец и основатель Osnova, Денис Бурлаков поделился впечатлениями от участия в форуме, читайте его мнение по ссылке: https://rbk.money/article/2021/05/25/standoff2/
#PHDays10 #TheStandoff
IT-компания Osnova предоставила для The Standoff свой одноименный платежный процессинг на открытом коде. На этом решении работала вся банковская инфраструктура кибергорода. Спойлер: финансовая система жесткий краш-тест выдержала, хотя ее не защищали специалисты из Blue teams. Спасибо, Osnova, это было круто!
Владелец и основатель Osnova, Денис Бурлаков поделился впечатлениями от участия в форуме, читайте его мнение по ссылке: https://rbk.money/article/2021/05/25/standoff2/
#PHDays10 #TheStandoff
Ни на что не намекаем, но пора бы уже посмотреть записи докладов PHDays и The Standoff 😎
Тем более, они такие интересные, полезные и крутые. Вот, например:
👌🏻 Security gym: тренируйся бороться с уязвимостями
Доклад о том, как разрабатывать безопасные приложения. Спикеры поделились опытом и показали систему, которая позволяет тренироваться в поиске и корректировке уязвимостей.
https://standoff365.com/phdays10/schedule/development/security-gym-train-to-crush-vulnerabilities/
👌🏻 Ломаем Bluetooth c помощью ESP32
Спикер рассказал, что такое Bluetooth (BLE), как происходит установление соединения и последующий обмен данными между различными устройствами. Он поговорил о атаках на Bluetooth и о том, как обеспечить безопасность технологии.
https://standoff365.com/phdays10/schedule/tech/how-to-pwn-bluetooth-with-esp32/
👌🏻 Простой и аккуратный метод обмануть предсказание top-k
Спикер продемонстрировал способ обмана предсказания top-k на датасетах Imagenet и CIFAR-10.
https://standoff365.com/phdays10/schedule/technical-village/a-simple-and-neat-way-to-deceive-top-k-prediction/
Докладов было намного больше — остальные смотри на сайте: https://standoff365.com/phdays10
#PHDays #TheStandoff
Тем более, они такие интересные, полезные и крутые. Вот, например:
👌🏻 Security gym: тренируйся бороться с уязвимостями
Доклад о том, как разрабатывать безопасные приложения. Спикеры поделились опытом и показали систему, которая позволяет тренироваться в поиске и корректировке уязвимостей.
https://standoff365.com/phdays10/schedule/development/security-gym-train-to-crush-vulnerabilities/
👌🏻 Ломаем Bluetooth c помощью ESP32
Спикер рассказал, что такое Bluetooth (BLE), как происходит установление соединения и последующий обмен данными между различными устройствами. Он поговорил о атаках на Bluetooth и о том, как обеспечить безопасность технологии.
https://standoff365.com/phdays10/schedule/tech/how-to-pwn-bluetooth-with-esp32/
👌🏻 Простой и аккуратный метод обмануть предсказание top-k
Спикер продемонстрировал способ обмана предсказания top-k на датасетах Imagenet и CIFAR-10.
https://standoff365.com/phdays10/schedule/technical-village/a-simple-and-neat-way-to-deceive-top-k-prediction/
Докладов было намного больше — остальные смотри на сайте: https://standoff365.com/phdays10
#PHDays #TheStandoff
Новый день — новые записи с PHDays 🙌 Мы отобрали для вас несколько докладов, которые, скорее всего, будут вам интересны.
☑️ Безопасный WebView?
Лекция посвящена опасным ошибкам, которые чаще всего допускают разработчики приложений на Android и iOS.
https://standoff365.com/phdays10/schedule/development/secure-webview/
☑️ Куда приводит любопытство
Не вдаваясь в технические детали, докладчик рассказывает о своих исследованиях — что было их целью, с чего они начинались и куда привели. Основным объектом изучения выступила подсистема Intel ME.
https://standoff365.com/phdays10/schedule/tech/where-curiosity-leads/
☑️ Обратная сторона проактивного детекта
Из лекции вы узнаете несколько простых сценариев, как обнаружить зловредное действие, и увидите примеры вредоносного ПО, которое можно выявить с помощью обсуждаемых техник и подходов.
https://standoff365.com/phdays10/schedule/threat-research-camp/the-flip-side-of-proactive-detection-difficulties-in-the-detection-of-malicious-activity/
У нас на сайте ещё много интересных и полезных докладов, так что заглядывайте: https://standoff365.com/phdays10
#PHDays #TheStandoff
☑️ Безопасный WebView?
Лекция посвящена опасным ошибкам, которые чаще всего допускают разработчики приложений на Android и iOS.
https://standoff365.com/phdays10/schedule/development/secure-webview/
☑️ Куда приводит любопытство
Не вдаваясь в технические детали, докладчик рассказывает о своих исследованиях — что было их целью, с чего они начинались и куда привели. Основным объектом изучения выступила подсистема Intel ME.
https://standoff365.com/phdays10/schedule/tech/where-curiosity-leads/
☑️ Обратная сторона проактивного детекта
Из лекции вы узнаете несколько простых сценариев, как обнаружить зловредное действие, и увидите примеры вредоносного ПО, которое можно выявить с помощью обсуждаемых техник и подходов.
https://standoff365.com/phdays10/schedule/threat-research-camp/the-flip-side-of-proactive-detection-difficulties-in-the-detection-of-malicious-activity/
У нас на сайте ещё много интересных и полезных докладов, так что заглядывайте: https://standoff365.com/phdays10
#PHDays #TheStandoff
👁🗨 Вам нравится, как мы ведём соцсети? Или, может быть, вы хотели бы что-то изменить? Мы задумали небольшую трансформацию и просим вас поделиться мнением. Это поможет нам изменить соцсети PHDays и The Standoff так, чтобы вам было интереснее и удобнее следить за проектами.
✍️ Мы подготовили для вас небольшую анкету. Переходите по ссылке и пройдите опрос, это не займёт много времени: https://forms.gle/tyF2an9ESjJBmsgH7
#PHDays10 #TheStandoff
✍️ Мы подготовили для вас небольшую анкету. Переходите по ссылке и пройдите опрос, это не займёт много времени: https://forms.gle/tyF2an9ESjJBmsgH7
#PHDays10 #TheStandoff
Уф, мы только пришли в себя после PHDays и The Standoff. Отдохнули, осознали произошедшее и готовы делиться выводами ✊🏻
Круто, что на площадке собралась очень разнообразная публика: гики, фанаты отрасли, профильные специалисты, предприниматели, даже министр цифрового развития заглянул на огонек. Послушать экспертов пришли больше 2,5 тысяч человек. А за сражениями на самом большом в мире киберполигоне The Standoff наблюдали более 20 тысяч онлайн-зрителей из разных стран.
Вот что нам особенно запомнилось:
✅ Хаос в кибергороде F: сломалось вообще все, остановилась нефтедобыча, пропало электричество, а на баржу упал контейнер
✅ За четыре дня The Standoff было реализовано 33 уникальных бизнес-риска — это 54% от общего числа рисков, заложенных в программу соревнования
✅ Обсудили отношение детей к кибербезопасности на The Standoff Kids
✅ На пленарной сессии поговорили о том, может ли стать Россия лидером кибербеза
✅ Форум оставил после себя более 80 часов полезного контента
Если ты следил за форумом (неважно, онлайн или офлайн), расскажи в комментариях, что тебе понравилось? Нам важно твое мнение.
#PHDays #TheStandoff
Круто, что на площадке собралась очень разнообразная публика: гики, фанаты отрасли, профильные специалисты, предприниматели, даже министр цифрового развития заглянул на огонек. Послушать экспертов пришли больше 2,5 тысяч человек. А за сражениями на самом большом в мире киберполигоне The Standoff наблюдали более 20 тысяч онлайн-зрителей из разных стран.
Вот что нам особенно запомнилось:
✅ Хаос в кибергороде F: сломалось вообще все, остановилась нефтедобыча, пропало электричество, а на баржу упал контейнер
✅ За четыре дня The Standoff было реализовано 33 уникальных бизнес-риска — это 54% от общего числа рисков, заложенных в программу соревнования
✅ Обсудили отношение детей к кибербезопасности на The Standoff Kids
✅ На пленарной сессии поговорили о том, может ли стать Россия лидером кибербеза
✅ Форум оставил после себя более 80 часов полезного контента
Если ты следил за форумом (неважно, онлайн или офлайн), расскажи в комментариях, что тебе понравилось? Нам важно твое мнение.
#PHDays #TheStandoff
Мы будем рассказывать о записях докладов, пока все подписчики их не посмотрят 😂 Шутим, конечно, но послушать спикеров и правда стоит.
Вот еще несколько лекций, которые очень зашли участникам PHDays и The Standoff:
✅ Positive Technologies: опыт внедрения инструментов DevSecOps
Спикеры рассказали, как развернуть и эксплуатировать сканер кода PT Application Inspector в сборочном конвейере с учетом особенностей корпоративной инфраструктуры. Для наглядности они показали архитектуру решения и продемонстрировали примеры интеграции сканера Application Inspector и клиента AISA с GitLab CI и TeamCity.
https://standoff365.com/phdays10/schedule/development/positive-technologies-experience-in-implementing-devsecops-tools/
✅ Фишинг как метод выявления болевых точек в бизнес-процессах
Докладчик работает с заказчиками пентестов на основе фишинга. Так он выявляет сотрудников, которые игнорируют бизнес-корреспонденцию, чем тормозят бизнес-процессы. Смотри лекцию, чтобы узнать, как провести фишинг и найти бизнес-диверсантов.
https://standoff365.com/phdays10/schedule/fast-track/phishing-as-a-method-of-detecting-sore-spots-in-business-processes/
✅ Об одном подходе к классификации бинарных данных
Спикер рассказал о подходе к классификации бинарных данных, который применяется для анализа вредоносных программ. Он основан на нечетком хешировании, техниках обработки естественного языка и машинном обучении.
https://standoff365.com/phdays10/schedule/technical-village/binary-data-classification-based-on-ml-fuzzy-hashing-and-nlp/
Слушал все эти доклады? Тогда смотри другие по ссылке: https://standoff365.com/phdays10
#PHDays10 #TheStandoff
Вот еще несколько лекций, которые очень зашли участникам PHDays и The Standoff:
✅ Positive Technologies: опыт внедрения инструментов DevSecOps
Спикеры рассказали, как развернуть и эксплуатировать сканер кода PT Application Inspector в сборочном конвейере с учетом особенностей корпоративной инфраструктуры. Для наглядности они показали архитектуру решения и продемонстрировали примеры интеграции сканера Application Inspector и клиента AISA с GitLab CI и TeamCity.
https://standoff365.com/phdays10/schedule/development/positive-technologies-experience-in-implementing-devsecops-tools/
✅ Фишинг как метод выявления болевых точек в бизнес-процессах
Докладчик работает с заказчиками пентестов на основе фишинга. Так он выявляет сотрудников, которые игнорируют бизнес-корреспонденцию, чем тормозят бизнес-процессы. Смотри лекцию, чтобы узнать, как провести фишинг и найти бизнес-диверсантов.
https://standoff365.com/phdays10/schedule/fast-track/phishing-as-a-method-of-detecting-sore-spots-in-business-processes/
✅ Об одном подходе к классификации бинарных данных
Спикер рассказал о подходе к классификации бинарных данных, который применяется для анализа вредоносных программ. Он основан на нечетком хешировании, техниках обработки естественного языка и машинном обучении.
https://standoff365.com/phdays10/schedule/technical-village/binary-data-classification-based-on-ml-fuzzy-hashing-and-nlp/
Слушал все эти доклады? Тогда смотри другие по ссылке: https://standoff365.com/phdays10
#PHDays10 #TheStandoff
На PHDays была студия, в которой мы задавали вопросы участникам форума. Сегодня в кадре Александр Бондаренко, генеральный директор R-Vision 📷
Александр поделился мнением о том, как пандемия повлияла на кибербезопасность, рассказал о значимости отрасли, предположил вектор ее развития и привел кейсы нарушения ИБ. Благодарим Александра и R-Vision не только за интересный комментарий, но и за крутые выступления на форуме в публичных дискуссиях и кулуарах PHDays.
Смотри видео по ссылке: https://youtu.be/FgfwBsMWm0M
Что скажешь, согласен с Александром?
#PHDays #TheStandoff
Александр поделился мнением о том, как пандемия повлияла на кибербезопасность, рассказал о значимости отрасли, предположил вектор ее развития и привел кейсы нарушения ИБ. Благодарим Александра и R-Vision не только за интересный комментарий, но и за крутые выступления на форуме в публичных дискуссиях и кулуарах PHDays.
Смотри видео по ссылке: https://youtu.be/FgfwBsMWm0M
Что скажешь, согласен с Александром?
#PHDays #TheStandoff
YouTube
Александр Бондаренко, генеральный директор, R-VISION
В этом году у нас, организаторов PHDays, был надежный друг и партнер — компания Innostage. Она выступила соорганизатором мероприятия: развернула и поддерживала инфраструктуру The Standoff, мониторила и контролировала действия команд, дарила участникам подарки, а представители компании выступали с докладами. Было круто работать вместе. Спасибо☺️
На форуме мы взяли небольшое интервью у их технического директора Виктора Вячеславова 💭
Виктор рассказал о трендах в российской информационной безопасности, объяснил, почему нам всем нужны киберполигоны и поделился мнением о поддержке российских IT-компаний. А еще прокомментировал, почему Innostage выстраивает стратегическое сотрудничество с Positive Technologies. Смотрите видео — в нем много тезисов, которые натолкнут на размышления: https://www.youtube.com/watch?v=a0dz_kTgato
#PHDays #TheStandoff
На форуме мы взяли небольшое интервью у их технического директора Виктора Вячеславова 💭
Виктор рассказал о трендах в российской информационной безопасности, объяснил, почему нам всем нужны киберполигоны и поделился мнением о поддержке российских IT-компаний. А еще прокомментировал, почему Innostage выстраивает стратегическое сотрудничество с Positive Technologies. Смотрите видео — в нем много тезисов, которые натолкнут на размышления: https://www.youtube.com/watch?v=a0dz_kTgato
#PHDays #TheStandoff
YouTube
Виктор Вячеславов, технический директор, INNOSTAGE
Форум прошел, но твоя любовь к PHDays никуда не делась, правда? Тогда пора вспомнить про мерч 😏
У нас есть футболки и худи, рюкзаки и чехлы для аксессуаров, значки и тапочки. Теперь ты можешь заказать их с доставкой домой или в офис.
✅ Курьерская доставка по Москве в пределах МКАД стоит 350 рублей.
✅ Доставка в регионы в пункты выдачи заказов СДЭК, Почта России, Boxberry и PickPoint стоит 199 рублей.
✅ Заказы за пределы России доставит компания DPD. Стоимость доставки рассчитывается индивидуально.
Сделай заказ на сайте и дождись звонка менеджера. Он уточнит детали и согласует дату и время доставки.
👉🏻 Выбирай мерч из каталога: https://positivemerch.com/
#PHDays10 #TheStandoff
У нас есть футболки и худи, рюкзаки и чехлы для аксессуаров, значки и тапочки. Теперь ты можешь заказать их с доставкой домой или в офис.
✅ Курьерская доставка по Москве в пределах МКАД стоит 350 рублей.
✅ Доставка в регионы в пункты выдачи заказов СДЭК, Почта России, Boxberry и PickPoint стоит 199 рублей.
✅ Заказы за пределы России доставит компания DPD. Стоимость доставки рассчитывается индивидуально.
Сделай заказ на сайте и дождись звонка менеджера. Он уточнит детали и согласует дату и время доставки.
👉🏻 Выбирай мерч из каталога: https://positivemerch.com/
#PHDays10 #TheStandoff